脱壳以后出现的问题，请大家看看-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 2 楼新的进展：发现VB程序开头应该都是 0040133C > $ 68 C8404000 push QQ大字代.004040C8 00401341 . E8 EEFFFFFF call <jmp.&MSVBVM60.#100> 004040C8 处是： 004040C8 56 42 35 21 F0 1F 76 62 VB5!?vb 004040D0 36 63 68 73 2E 64 6C 6C 6chs.dll 然后才是 msvbvm60.ThunRTMain（.&MSVBVM60.#100）把脱壳的程序前面加 push ×××××（004040C8的字符串的地址）发现还是不行，还是运行弹出对话框 title:程序错误 : dump_.exe 产生了错误,会被Windows关闭,您需要重新启动程序. 正在创建错误日志 2006-9-2 09:24 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼前面的push要以你要脱的程序为准，不能将其它程序的搬过来。 2006-9-2 09:45 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼你这个程序的OEP应该在1ABC，在脱壳快到OEP时对00401AB6下一个断点，断下后查看堆栈的[esp+4]就是被偷的push xxxxxxxx的第一句地址。[esp]就是第二句call 00401AB6 2006-9-2 09:48 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 5 楼试过了，被偷的在壳里面 0012FFB8 00401AB6 jmp 到msvbvm60.ThunRTMain 0012FFBC 0259038C ・返回到 0259038C 来自 028C0000 0012FFC0 00419BEC .00419BEC 0012FFC4 77E71AF6 ・返回到 kernel32.77E71AF6 push那个是这里 00419BEC 56 42 35 21 F0 1F 76 62 VB5!?vb 00419BF4 36 63 68 73 2E 64 6C 6C 6chs. dll 打了下补丁代码，先jmp到某的地方 push 00419BEC 再jmp 回来，还是不行。我再试试看，是不是其他地方错了多谢：） 2006-9-2 13:17 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 6 楼在00401ABC处写上代码： push 00419BEC call 00401AB6 保存， LordPE修改OEP＝00019bec 2006-9-2 13:41 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 7 楼汗，发现是Asprotect SKE 的壳，我居然不知情下，跟了2天，可惜我的peid 一开始没有查出来。 Volx大侠的脚本运行出错，弹出对话框“ Error 31”。现在准备从新开始，多谢cyto 2006-9-3 11:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 2 楼新的进展：发现VB程序开头应该都是 0040133C > $ 68 C8404000 push QQ大字代.004040C8 00401341 . E8 EEFFFFFF call <jmp.&MSVBVM60.#100> 004040C8 处是： 004040C8 56 42 35 21 F0 1F 76 62 VB5!?vb 004040D0 36 63 68 73 2E 64 6C 6C 6chs.dll 然后才是 msvbvm60.ThunRTMain（.&MSVBVM60.#100）把脱壳的程序前面加 push ×××××（004040C8的字符串的地址）发现还是不行，还是运行弹出对话框 title:程序错误 : dump_.exe 产生了错误,会被Windows关闭,您需要重新启动程序. 正在创建错误日志 2006-9-2 09:24 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼前面的push要以你要脱的程序为准，不能将其它程序的搬过来。 2006-9-2 09:45 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼你这个程序的OEP应该在1ABC，在脱壳快到OEP时对00401AB6下一个断点，断下后查看堆栈的[esp+4]就是被偷的push xxxxxxxx的第一句地址。[esp]就是第二句call 00401AB6 2006-9-2 09:48 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 5 楼试过了，被偷的在壳里面 0012FFB8 00401AB6 jmp 到msvbvm60.ThunRTMain 0012FFBC 0259038C ・返回到 0259038C 来自 028C0000 0012FFC0 00419BEC .00419BEC 0012FFC4 77E71AF6 ・返回到 kernel32.77E71AF6 push那个是这里 00419BEC 56 42 35 21 F0 1F 76 62 VB5!?vb 00419BF4 36 63 68 73 2E 64 6C 6C 6chs. dll 打了下补丁代码，先jmp到某的地方 push 00419BEC 再jmp 回来，还是不行。我再试试看，是不是其他地方错了多谢：） 2006-9-2 13:17 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 6 楼在00401ABC处写上代码： push 00419BEC call 00401AB6 保存， LordPE修改OEP＝00019bec 2006-9-2 13:41 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 7 楼汗，发现是Asprotect SKE 的壳，我居然不知情下，跟了2天，可惜我的peid 一开始没有查出来。 Volx大侠的脚本运行出错，弹出对话框“ Error 31”。现在准备从新开始，多谢cyto 2006-9-3 11:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复